Selon Picus Security (blog), dans la catégorie Threats and Vulnerabilities, BRICKSTORM est une backdoor sophistiquée attribuée au groupe APT UNC5221 (nexus Chine) visant des services juridiques, fournisseurs SaaS et entreprises technologiques aux États‑Unis.
BRICKSTORM est un malware en Go avec variantes Linux, Windows et BSD, offrant de l’exécution de commandes via HTTP et du tunneling proxy SOCKS pour un accès à long terme. Les opérateurs maintiennent une persistance durable avec un temps de présence moyen de près d’un an et recourent à des techniques d’évasion avancées (binaries Go obfusqués via Garble, logique de démarrage différé).
Côté communications C2, le malware utilise le DNS over HTTPS (DoH). L’accès initial passe par l’exploitation de vulnérabilités d’appliances. La persistance est assurée via des scripts de démarrage et des filtres Java Servlet in‑memory (composant BRICKSTEAL). Le mouvement latéral s’appuie sur SSH et des identifiants collectés. Les attaquants procèdent à un clonage de VM pour extraire ntds.dit hors ligne et abusent des permissions Microsoft Entra afin d’exfiltrer des e‑mails.
TTPs clés observés 🔎
- Backdoor Go cross‑plateforme (Linux/Windows/BSD) avec exécution de commandes HTTP et proxy SOCKS
- Obfuscation via Garble et démarrage différé
- C2 via DNS over HTTPS (DoH)
- Exploitation d’appliances pour l’accès initial
- Persistance par scripts de démarrage et filtres Java Servlet in‑memory (BRICKSTEAL)
- Mouvement latéral via SSH et identifiants collectés
- Clonage de VM pour extraction ntds.dit hors ligne
- Abus de permissions Microsoft Entra pour exfiltration d’e‑mails
Type d’article : analyse de menace. Objectif principal : documenter le malware BRICKSTORM, son attribution à UNC5221 et les techniques utilisées pour la compromission et la persistance.
🔗 Source originale : https://www.picussecurity.com/resource/blog/brickstorm-malware-unc5221-targets-tech-and-legal-sectors-in-the-united-states